Cisco VPN 配置命令详细解释
来源:互联网 发布:淘宝apass会员是什么 编辑:程序博客网 时间:2024/05/29 03:36
VPN 配置命令详细解释
1 aaa new-model
启用AAA(验证,授权,审计)
2 aaa authentication login dwhlogin local
aaa authentication {login|ppp|enable} {default|列表名称} {enable|krb5|line|local|none|group radius|group tacacs+}
三种模式:
aaa authentication login ――――――当有一个登陆行为时进行认证;
aaa authentication ppp ――――――对基于PPP协议的一些网络应用进行认证;
aaa authentication enable ――――――对使用enable命令进入特权模式时进行认证;
七种认证方法:
enable 使用enabel口令认证;
krb5 使用Kerberos5来认证;
line 使用线路口令来认证;
local 使用本地用户数据库来认证;
none 不认证;
group radius 使用radius服务器来认证;
group tacacs+ 使用tacacs+服务器来认证;
每个列表中可以定义最多四种认证方法。
定义的列表名称需要应用到接口和链路
line vty 0
aaa authentication dwhlogin
3 aaa authorization network dwhgroup local
aaa authorization {auth-proxy | network |exec | command level |reverse-access |configuration | ip moblie}
{default|list-name} [method1[method2...]
七种授权模式:
auth-proxy 应用指定的安全策略,基于每用户
network 应用到network connection,包括ppp,slip,或arap连接
reverse access 应用到反向telnet会话
exec 应用到与用户terminal session联系的属性。
commands 应用到exec模式命令给user执行,commands授权。可以有0-15十六个命令集(等级15是全部命令的集合)
五种认证方法方法:
tacacs+ 用塔克斯给其授权。
if-authenticated 如果user验证通过了,那么它即被授权了。
none 无需授权。
local 用定义了的username授权。
radius radius给其授权。
定义的列表名称需要应用到接口和链路
4 crypto isakmp policy 5
定义ISAKMP策略。最后的数字越小,应用的优先级越高
内部定义以下命令:
encr 3des 指定加密算法DES
hash md5 指定散列算法
authentication pre-share 指定验证为预共享
group 2 指定diffie hellman组为2
5 crypto isakmp client configuration group 组名
选择了Local(本地授权方式),必须在路由器上使用以上命令定义组。内部有以下命令。
key pre_shared_key 创建一个预共享密钥为组认证使用,必须定义组名和这个组的密钥,如果没有定义key,证书将作为设备认证。
pool pool_name 用来对这个组的成员进行响应的地址池的名字,名字必须和ip local pool的名字一样
domain domain_name 定义指定给远程用户的域名
dns 1st_DNS_server [2nd_DNS_server]
split-dns domain_name
wins 1st_WINS_server [2nd_WINS_server]
include-local-lan
acl ACL_name_or_# 命令允许你简历隧道分离配置,通过这条命令,你可以通过定义一个IP ACL规定哪些流量被保护
backup-gateway {IP_address | hostname} 从12.3(4)T开始, 路由器可以列出10个备份EasyVPN Server的地址用来连接远程用户
save-password 在IOS 12.3(2)T中,当打开时,在客户连接完成并且接收IKE mode 配置的策略,在以后链接到服务器时用户允许
本地存储扩展认证的密码
pfs 在IOS 12.3(4)T,允许使用向前完美加密,PFS可以使得更加安全
max-logins #_of_simultaneous_logins
max-users #_of_users 在IOS 12.3(4)T这两个命令出现,对同时最大登陆数和每组的用户会话进行限制
access-restrict interface_name
group-lock 命令允许用户在扩展认证的同时对用户名密码和组进行认证
6 crypto ipsec transform-set dwhtest esp-aes esp-sha-hmac
定义传输数据和完整性验证的策略,名字为test
7 crypto dynamic-map dwhdynmap 5
定义动态map,名字为dwhdynmap
内部有set transform-set dwhset 命令,引用第6步定义的传输集dwhset
8 crypto map dwhmap client authentication list dwhlogin
定义map,名字为dwhmap。
客户端认证引用第2步定义的列表dwhlogin
9 crypto map dwhmap isakmp authorization list dwhgroup
定义map,名字为dwhmap
客户端授权引用第3步定义的列表dwhgroup
10 crypto map dwhmap client configuration address respond
定义map,名字为dwhmap
客户端地址配置策略:请求响应类型。还可以选择push地址到客户端
11 crypto map dwhmap 500 ipsec-isakmp dynamic dwhdynmap
定义map,名字为dwhmap
500 Sequence to insert into crypto map entry的值
ipsec-isakmp ipsec-isakmp和ipsec-manual可供选择
dwhdynmap 为引用的第7步定义的动态map的名字
12 ip local pool dwhpool 192.168.100.100 192.168.100.200
定义地址池,在第5步中引用
13 ip access-list extended dwhvpn
permit ip any any
定义ACL,在第5步中引用
14 interface FastEthernet0/0
crypto map dwhdynmap
在接口0/0上启用VPN
15 username dwhuser password 0 dwhuser
在路由器上建立用户和密码
16 客户端的配置(Cisco VPN客户端)
(1)输入路由器FastEthernet0/0端口的IP地址
(2)输入组的名字,以上第5步配置的组名
(3)针对选择的组,输入组的密码(第5步中配置的Key的密码)
(4)使用dwhuser连接,输入相应用户的密码就可以了。
文章转载至http://bbs.net527.cn 无忧网客联盟
无忧网客联盟主站
无忧linux时代
- Cisco VPN 配置命令详细解释
- Cisco路由器VPN配置
- Cisco SSL VPN 配置
- 配置cisco vpn
- Cisco L2TP配置命令详细介绍
- VPN是什么? VPN详细解释。
- Cisco remote-access VPN (easy VPN)配置
- Cisco VPN连接配置实例
- Cisco Web VPN 配置详解
- Cisco路由器VPN配置 实验
- Fedora Linux Cisco VPN 配置
- 最详细的CISCO路由器配置命令及方法
- cisco ssh 配置 也解释
- vpn配置-非常详细
- Cisco easy vpn remote/server全配置
- cisco 虚拟专网VPN配置
- Cisco ASA Web VPN 配置详解
- Cisco Easy VPN 配置IOS远程接入
- java virtual machine(java虚拟机的运行机制)?
- Flex字体篇——动态嵌入字体(按需嵌入)
- EDLinux 2----细数Linux的挂载及其他
- 移动硬盘无法访问,打开提示”文件或目录损坏且无法读取”的处理方法
- mysql 索引( mysql index )
- Cisco VPN 配置命令详细解释
- 4 进程调度
- 一个md5破解的网站。。
- PKU1611--并查集Kruskar算法实现最小生成树源码
- 第一次发文
- Dell1464笔记本安装Win7旗舰版和XP经历
- 网页打开速度慢的原因及N种解决方法
- ref 和 out关键字的用法
- 老生常谈--GetROProperty,GetTOProperty,SetTOProperty的区别